随着《电子政务信息安全等级保护实施指南》和《信息安全等级保护管理办法》等一系列文件颁布以来,政府部门如何来做等级保护,确保电子政务安全已经变成非常热门的话题。
我们知道,电子政务等级保护工作分为管理层面和用户层面两部分。管理层的主要工作是制定电子政务信息安全等级保护的管理办法、定级指南、基本安全要求、等级评估规范以及对电子政务等级保护工作的管理等;用户层的主要工作是依据管理层的要求对电子政务系统进行定级,确定系统应采取的安全保障措施,进行系统安全设计与建设,以及运行监控和改进。
具体落到实处对电子政务实现等级保护,政府部门一般都需要做以下的工作。
一、加强安全管理组织是实现等级保护的基础
由于电子政务安全管理涉及到众多的国家安全职能部门,其安全管理职能的协调需要由国家信息化领导机构,如国家信息化领导小组、国家电子政务协调小组、国家信息安全协调小组等来进行。各地区和部委建立相应的信息安全管理机构,以完成和强化信息安全的管理,形成自顶向下的信息安全管理组织体系,是电子政务安全实施的必要条件。
安全组织包括建立健全组织体系;明确负责安全管理的主要领导、主管部门、技术支持部门和宣传、保卫部门;制定系统安全保障方案,实施安全宣传教育、安全监管和安全服务。只有建设一个国家到省市纵向和横向各部委、厅局架构的安全管理组织,才能真正实现全面的安全等级保护。
二、规划与制度是规范等级保护的根本保证
电子政务信息系统存在着来自社会环境、技术环境和物理自然环境的安全风险,其安全威胁无时无处不在。对于电子政务信息系统的安全问题,不能企图单凭利用一些集成了信息安全技术的安全产品来解决,而必须建立电子政务信息系统安全保障体系,考虑技术、管理和法律的因素,全方位地、综合解决系统安全问题。
按照《电子政务信息安全等级保护实施指南》等文件的工作要求,需制定《省市电子政务等级保护总体安全方案》,对电子政务信息安全等级保护进行明确的界定,根据电子政务系统在国家安全、社会稳定、经济秩序和公共利益等方面的重要程度,结合系统面临的风险、安全保护要求和成本等因素,将其划分成不同的安全保护等级,采取相应等级的安全保护措施,以保障信息和信息系统的安全。
通过全面推行信息安全等级保护制度,逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节,使省市信息安全保障状况得到基本改善。通过加强和规范信息安全等级保护管理,不断提高、省市信息安全保障能力,为维护信息网络的安全稳定,促进信息化发展服务。
三、产品与技术解决方案是实施等级保护的具体表现
根据各级电子政务内外网与专网的安全等级保护的不同要求,安全等级保护的产品和技术解决方案部署在网络基础设施安全和主机及数据安全两方面。网络基础设施安全措施包括:网络部署、网络冗余、网络设备安全、边界保护、安全检测和审计、PKI、远程访问措施、网络安全管理等;主机及数据安全措施包括:服务器主机与平台加固、桌面端补丁管理与漏洞控制、病毒与恶意代码防范、身份识别与认证、系统与应用安全审计、数据完整性监控、数据备份与恢复、主机与数据安全管理策略清单等。
我们独到地提出了“等级保护客体保障体系”的解决方案,它以国家相关的法规标准为依据,以等级保护知识库和支撑平台为基础,形成了科学合理的解决方案,帮助政府用户构建等级化保障体系,以满足不同类型信息系统和不断变化的信息系统安全需求为目标,依据等级保护文件,设计了基于核心技术的等级保护服务组件。
对信息系统的基础资源和信息资源的价值大小、用户访问权限的大小、大系统中各子系统的重要程度进行区别对待,对系统进行定级后,需要通过努力达到相应等级的基本安全要求。在总体上分为技术要求和管理要求,技术上又分为物理安全、网络安全、主机安全、应用安全、数据安全;在管理要求中又分为安全管理机构、安全管理制度等5项。
公司遵照国家等级保护制度、满足客户实际需求,采用等级化、体系化和运行保障相结合的方法,旨在为用户建设一套覆盖全面、重点突出、节约成本、持续运行的安全保障体系,切实有效地推进了信息安全等级保护工作的持续发展。